Tidningen Energi 1
NIS-direktivet träder i kraft SÄKERHET Digitalise
ringen av samhället fortsätter, men informations- och cybersäkerheten har inte ökat i samma snabba takt. EU har pekat ut energi försörjningen som ett av sju kritiska områden med behov av ökad säkerhet i nätverks- och informationssystem. Sedan augusti i år är leverantörer inom energisektorn tvungna att bedriva ett systematiskt arbete med informationssäkerhet. 2016 tog EU fram NIS-direktivet, som syftar till att upprätthålla det uppkopplade samhällets funktion och säkerställa att EU:s inre marknad fungerar. Energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten samt digital infrastruktur är alla samhällskritiska verksamheter som alltid måste fungera. Viktig dokumentation Den 13 juni i år beslutade riksdagen om lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Det innebär att de flesta av Sveriges energiföretag måste dokumentera sina nätverks- och informationssystem. Dessutom måste alla incidenter som kan påverka kontinuiteten i tjänsterna rapporteras. Energi myndigheten är tillsynsmyndighet. Arbetsgruppen EBITS inom Energiföretagen Sverige, har till uppdrag att bevaka de regelverk och riktlinjer som reglerar energibranschens hantering av data- och informationssystem. – Det är viktigt att våra medlemsföretag gör sig redo för de nya krav som NIS-direktivet för med sig. Vi kommer att ha en fortsatt dialog med Energimyndigheten och ingå i deras referensgrupp. Många av våra medlemsföretag har kommit en bra bit på väg i sitt arbete Gitte Bergknut. Samhället ska skyddas från cyberattacker genom EU-direktivet NIS, som kräver att leverantörer i energibranschen arbetar systematiskt med IT-säkerhet. med NIS, säger Gitte Bergknut, informationssäkerhetschef på Uniper och ordförande i EBITS. Hon uppmanar energibolag är att läsa det material som finns på MSBs och Energimyndighetens hemsidor. Kan förbättras Håkan Hagberg arbetar med säkerhetsfrågor på Jämtkraft. Under hösten 2016 råkade Jämtkraft ut för några angrepp av så kallade ransomware. – De rutiner vi Insatserna medförde att återställningstiden vid den senaste attacken blev betydligt kortare än vid den första. Den 25 maj när GDPR-förordHåkan Hagberg. hade för återställning fungerade bra, men de här incidenterna pekade ändå på ett par förbättringsområden. Vi genomförde utbildningsinsatser inom informationssäkerhetsområdet, snabbade upp återställningsprocesser och gjorde ett antal investeringar inom teknisk IT- säkerhet. ningen trädde i kraft upptäcktes en trojan innanför Jämtkrafts brandväggar. –Trojanen kunde inom de stipulerade 72 timmarna avfärdas som en ren IT-incident utan komplikationer. Den hade inte transporterat någon data och därför inte heller berört några personuppgifter. Vad denna trojan hade för syfte kan vi naturligtvis spekulera i. Det är viktigt att vi hela tiden utvärderar hot och ständigt håller oss uppdaterade och genomsöker vår infrastruktur för att i första hand förhindra, men också upptäcka potentiellt skadlig programkod. Det är även viktigt att kontinuerligt testa säkerheten, avslutar Håkan Hagberg. MARIE KOFOD-HANSEN Nr 5 2018 Tidningen ENERGI 17 FOTO: MOSTPHOTOS/ANDREY POPOV